Re: [FRnOG] [TECH] Routeurs cisco
Salut Après avoir prit contact avec un Broker, on me propose des Cisco 2811 avec une carte 24 ports en remplacement. Sur le papier, ça semble pas mal, mais mon budget étant assez court (env 1000 € / routeur), est ce pour vous un bon choix ? Pour rester chez ciscal, je pense que tu peux trouver du 3750* ou du 4948* chez les broker maintenant. La pour le coup ca fait vraiment du routage v4/v6 avec ospf/bgp sur du CPU pas trop moisi. Si tu as du jus, le 6500/sup720 est indestructible tant que tu ne lui envoie pas une full view BGP. Par contre il te grille une demi-baie en place et en jus. Regarde aussi les Brocade CES/CER, c'est une gamme que je trouve particulièrement bien aboutie. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
Plus d'1h d'attente pour rentrer au Netcenter à Courbevoie hier. Le dispatch ne répond pas aux demandes par mail, ils sont saturés, le système informatique est a moitié planté et ils utilisent l'ancien pour faire des acces temporaires, en se trompant de date. Après plein de coups de fil j'ai réussi à avoir un numéro d'accès et à rentrer, un vrai miracle. Cédric * Clement Cavadore clem...@cavadore.net [2014-01-20 10:07 +0100]: Bonjour, J'aimerais lançer une discussion auprès des gens habitués à accéder aux datacenters: Quelle est votre opinion concernant la facilité d'accès aux diverses salles machines que vous fréquentez ? En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine d'années, de visiter plusieurs datacenters de la place Parisienne (et d'ailleurs), et force est de constater que la facilité/rapidité/etc d'accès est très variable (pas forcément dans le bon sens), en fonction des procédures de sécurité en vigueur dans $datacenter, de la taille de celui-ci, et des interlocuteurs que l'on a en face de soi. Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag (qu'on conserve ou non), une autorisation temporaire, et selon l'heure d'accès, je trouve tout de même étonnant de si fréquemment tomber à l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que dérouler leur procédure. Sauf que quand leur procédure est broken, on ne sait plus trop comment s'en sortir pour pouvoir accéder au site. Qui n'a jamais eu droit au ah, on n'a pas reçu le mail, ou ya pas eu d'autorisation de faite, faut la refaire ? Pas plus tard qu'il y a quelques jours, je me suis retrouvé à devoir attendre plus d'une heure pour entrer dans un gros datacenter Parisien, avec ce genre d'excuses à l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à l'appui), et que c'est quasi systématique dans ledit DC. Ma question est donc: Quel est votre retour d'expérience sur ce sujet ? Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir attendre plus de 10 minutes pour rentrer sur un site ? Evidemment, j'aurais tendance à vouloir éviter de mettre trop de business dans les salles où l'accès (qu'il soit pour moi, ou pour mes clients) est SYSTEMATIQUEMENT compliqué... Mais est-ce que c'est, pour vous vraiment un mal nécessaire, au nom de la sécurité ? Qu'en pensent les exploitants des datacenters ? Merci d'avance ! -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
* Clement Cavadore clem...@cavadore.net [2014-01-24 09:46 +0100]: On Fri, 2014-01-24 at 09:28 +0100, Cedric T. wrote: Plus d'1h d'attente pour rentrer au Netcenter à Courbevoie hier. J'espère que tu n'avais pas une urgence... :-) Non heureusement, mais j'ai du y retourner pour récup ma carte d'identité qu'ils avaient oublié de me rendre. a+ Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
* Clement Cavadore clem...@cavadore.net [2014-01-24 09:54 +0100]: On Fri, 2014-01-24 at 09:49 +0100, Cedric T. wrote: (...) qu'ils avaient oublié de me rendre. Que t'avais oublié de récupérer à la sortie... :D Ce n'est qu'une question de point de vue... et le client a toujours raison :P --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?
En ce qui me concerne, je trouve que le plus efficace, ca a toujours été les badges nominatifs qu'on emporte avec nous + biométrie. Je plussoie ! Sur equinix j'aurai bien voulu pouvoir garder le badge avec moi. Sur DC2 parfait, mais faut passer par le NOC pour entrer en salle OP (très rapide cela dit, les tech sont toujours dispo) Sur DC3, à part le fait que le parking est souvent plein et qu'il faut se garer au fond, l'entrée est super rapide. Et il y a la biométrie jusque dans les salle OP, donc super efficace quand on est pressé ! Sur Redbus c'est rapide aussi quand le scanner rétinien marche :P a+ Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Business de location d'IP : WTF ?
Ca peut être du spamming web aussi : - faux avis consomamteurs sur des comparateurs - faux commentaires dans les forums - ou du vpn, mais 10mbps ca fait léger Cédric * Manuel Martinez mmarti...@a10networks.com [2013-12-09 10:42 +]: Salut la liste, J'ai rencontré quelqu'un qui faisait ça pour acheter des tickets online pour certains évènements sportifs ou concerts (Roland Garros, M. Farmer, etc), pour dépasser les quotas avec des robots et faire de la revente, au black. Apparemment, c'était très rentable. Cependant c'était il y a un bout de temps. Je ne saurais dire si ça pourrait faire le job, pour des tickets pour la coupe du monde de foot ? ;-) Manuel MARTINEZ -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Julien Escario Envoyé : lundi 9 décembre 2013 11:35 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Business de location d'IP : WTF ? Bonjour, Ca fait 2/3 fois que je reçois des mails, semble t'il assez sérieux, de mecs qui veulent le louer des IPs. La dernière fois que j'ai creusé, le type voulait un serveur avec 10 Mbps de transit, un blocage du port 25 en guise de bonne foi et un max d'IP dans des ranges différents. Mais ils en font quoi au final ? Parce que dans tous les cas, les préfixes sont toujours annoncés chez nous et avec 10 Mbps, je les vois mal rerouter du trafic pour crawler/spammer/what else ? C'est quoi ce business au final ? Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Business de location d'IP : WTF ?
j'ai déja vu quelque chose d'ingénieux pour contourner le blocage du port 25 en sortie : Il envoie tout son spam depuis un fournisseur peu regardant : en fait il spoof les IP d'un autre fournisseur qui bloque le 25 qu'en sortie. Du coup les ACK arrivent par le 2e fournisseur, qui ne comprend pas comment on a pu spammer et protège son client connement mais j'vous jure, c'est pas possible, il peut pas spammer le port 25 est bloqué !!! Cédric * Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net [2013-12-09 15:41 +0100]: On Mon, Dec 9, 2013, at 11:35, Julien Escario wrote: toujours annoncés chez nous et avec 10 Mbps, je les vois mal rerouter du trafic pour crawler/spammer/what else ? Ne sous-estime jamais les spammeurs :) Ils ont souvent des moyens plus importants que toi. Multiplie ce qu'ils te demandent par 100 (voire plus) et essaye de voir ce qu;ils peuvent faire avec ca :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...) L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Compteur sur les Brocade 2048FX CER
Actuellement, je recherche vainement lesdits compteurs (après avoir mangé les 3k pages de la doc, il semble que ce modèle n'en possède pas .. super), et le sflow m'enfin des données incomplètes (sflow sample valident pour le port primaire du LAG, mais pas pour le port secondaire) J'utilise as-stats avec sflow sur des CER en 5.5.0T185. Mes stats sont fausses également, il manque des sample et je n'ai jamais trouvé la raison. La seule explication qui me semble plausible serait un bug... Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
Voici comment j'ai configuré mon IN ! route-map v4_in permit 10 match ip address prefix-list PL_IN ! route-map v4_in permit 100 Ta route-map n'a que des permit donc aucun effet ! Je te conseile de faire l'inverse : deny d'abord et permit le reste route-map v4_in deny 10 match ip address prefix-list bogons route-map v4_in permit 100 ip prefix-list bogons permit 0.0.0.0/8 le 32 ip prefix-list bogons permit 10.0.0.0/8 le 32 [...] ip prefix-list bogons permit 224.0.0.0/3 le 32 Il est coutume aussi de filtrer tous les prefix plus longs que /24. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Prefix-list out bgp
ip as-path access-list 1 permit ^$ ! route-map FAI_10-in deny 10 match as-path 1 Cela n'a de sens qu'en out pour n'annoncer que les routes en provenance de ton réseau (l'as-path vide) Tel que tu l'écris tu refuses les routes de ton fournisseur n'ayant pas d'as-path, ce qui est très improbable :) route-map FAI_10-out permit 10 match ip address prefix-list IPv4 ! route-map FAI_10-out deny 100 Ok, donc la tu peux annoncer 1.1.1.1/24 à ton transitaire. Ce que je ne comprends pas : je cherche à refuser les prefixes 10.0.0.0/8 le 32 dans ma config actuelle je DENY via la prefix-list que j'applique avec ma route-map permit On n'applique pas une prefix-list à une route-map, on applique l'action d'une route-map aux prefix qui passent la prefix-list. Donc la route-map de dessous permet de refuser tous les prefixes de PL_IN ??? Cela revient au même que de faire du DENY PERMIT, non ?? Les 4 lignes suivantes ne font strictement rien : route-map v4_in permit 10 match ip address prefix-list PL_IN ip prefix-list PL_IN seq 5 deny 1.1.1.0/24 ip prefix-list PL_IN seq 10 deny 0.0.0.0/0 Un deny d'un prefix dans la prefix-list ne te garanti pas que le prefix est bloqué, mais seulement que la route-map (deny ou permit) ne s'applique pas à ce prefix. La logique d'une route-map est donc la suivante : route-map XXX permit 10 match ip address prefix-list TRUC est équivalent à J'autorise (permit) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. De même que : route-map XXX deny 10 match ip address prefix-list TRUC est équivalent à : Je _refuse_ (deny) les prefix qui _passent_ la prefix-list TRUC. Puis je passe à la route-map suivante s'il y en a une. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/